Rackspace: Η επίθεση Ransomware παρακάμπτει τους μετριασμούς ProxyNotShell

Η εταιρεία υπηρεσιών διαχειριζόμενης φιλοξενίας cloud Rackspace Technology επιβεβαίωσε ότι η μαζική επίθεση ransomware της 2ας Δεκεμβρίου που διέκοψε τις υπηρεσίες email για χιλιάδες επιχειρηματικούς πελάτες μικρού έως μεσαίου μεγέθους προήλθε μέσω μηδενικής εκμετάλλευσης ενάντια σε μια ευπάθεια πλαστογράφησης αιτημάτων από την πλευρά του διακομιστή (SSRF). στον Microsoft Exchange Server, γνωστός και ως CVE-2022-41080.

«Είμαστε πλέον πολύ βέβαιοι ότι η βασική αιτία σε αυτήν την περίπτωση σχετίζεται με ένα exploit μηδενικής ημέρας που σχετίζεται με το CVE-2022-41080», είπε η Karen O'Reilly-Smith, επικεφαλής ασφαλείας για το Rackspace, στο Dark Reading σε μια απάντηση μέσω email. "Η Microsoft αποκάλυψε το CVE-2022-41080 ως ευπάθεια κλιμάκωσης προνομίων και δεν περιλάμβανε σημειώσεις ως μέρος μιας αλυσίδας απομακρυσμένης εκτέλεσης κώδικα που ήταν εκμεταλλεύσιμη."

Το CVE-2022-41080 είναι ένα σφάλμα της Microsoft επιδιορθώθηκε τον Νοέμβριο. 

Ένας εξωτερικός σύμβουλος της Rackspace είπε στο Dark Reading ότι η Rackspace είχε καθυστερήσει να εφαρμόσει την ενημερωμένη έκδοση κώδικα ProxyNotShell εν μέσω ανησυχιών σχετικά με αναφορές ότι προκάλεσε "λάθη ελέγχου ταυτότητας" που η εταιρεία φοβόταν ότι θα μπορούσε να καταργήσει τους Exchange Servers της. Το Rackspace είχε εφαρμόσει προηγουμένως τους συνιστώμενους μετριασμούς της Microsoft για τα τρωτά σημεία, τα οποία η Microsoft είχε θεωρήσει έναν τρόπο για να αποτρέψει τις επιθέσεις.

Η Rackspace προσέλαβε το CrowdStrike για να βοηθήσει στην έρευνα παραβίασης και η εταιρεία ασφαλείας μοιράστηκε τα ευρήματά της σε μια ανάρτηση ιστολογίου που περιγράφει λεπτομερώς πώς ήταν η ομάδα ransomware Play χρησιμοποιώντας μια νέα τεχνική για να ενεργοποιήσετε το ελάττωμα ProxyNotShell RCE επόμενου σταδίου γνωστό ως CVE-2022-41082 χρησιμοποιώντας το CVE-2022-41080. Η ανάρτηση του CrowdStrike δεν ανέφερε το Rackspace εκείνη την εποχή, αλλά ο εξωτερικός σύμβουλος της εταιρείας λέει στο Dark Reading ότι η έρευνα σχετικά με τη μέθοδο παράκαμψης μετριασμού του Play ήταν το αποτέλεσμα της έρευνας του CrowdStrike για την επίθεση στον πάροχο υπηρεσιών φιλοξενίας.

Η Microsoft είπε στο Dark Reading τον περασμένο μήνα ότι ενώ η επίθεση παρακάμπτει προηγουμένως εκδοθέντες μετριασμούς ProxyNotShell, δεν παρακάμπτει την ίδια την ενημερωμένη έκδοση κώδικα. 

Το patching είναι η απάντηση, αν μπορείτε να το κάνετε», λέει ο εξωτερικός σύμβουλος, σημειώνοντας ότι η εταιρεία είχε σταθμίσει σοβαρά τον κίνδυνο εφαρμογής του patch σε μια στιγμή που οι μετριασμούς λέγονταν ότι ήταν αποτελεσματικοί και το έμπλαστρο κινδύνευε να καταργήσει διακομιστές. «Αξιολόγησαν, εξέτασαν και στάθμισαν [τον κίνδυνο] που γνώριζαν» εκείνη τη στιγμή, λέει ο εξωτερικός σύμβουλος. Η εταιρεία δεν έχει ακόμη εφαρμόσει την ενημερωμένη έκδοση κώδικα αφού οι διακομιστές παραμένουν εκτός λειτουργίας. 

Ένας εκπρόσωπος του Rackspace δεν θα σχολίασε εάν το Rackspace είχε πληρώσει τους εισβολείς ransomware.